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Procede, systeme 9 dispositif desttiaes a proever 1 'authenticity d'ome 
entite et/oni l 9 5initegrite et/oui Paetfoeiniticite d 9 nm message anx moyeims de 
ffacteunirs premiers partnoalieirSo 

La presente invention concerne le domaine technique des procedes, des 
5 systemes ainsi que des dispositifs destines a prouver 1' authenticity d'une 

entite et/ou Pintegrite et/ou F authenticity d'un message. 
Le brevet EP 0 311 470 Bl dont les inventeurs sont Louis Guillou et Jean- 
Jacques Quisquater decrit un tel precede. On y fera ci-apres reference en le 
designant par les termes : "brevet GQ" ou "precede GQ". Par la suite on 
10 designera parfois par "GQ2", "invention GQ2" ou "technologie GQ2" de 

nouveaux developpements de la technologie GQ faisant Fobjet des 
demandes pendantes deposees le merae jour que la presente demande par 
France Telecom, TDF et la Societe Mathrizk et ayant pour inventeur Louis 
Guillou et Jean-Jacques Quisquater. Les traits caracteristiques de ces 
15 demandes pendantes sont rappeles chaque fois que cela est necessaire 

dans la description qui suit. 

Selon le precede GQ, une entite appelee " autorite de confiance " attribue 
une identite a chaque entite appelee " temoin " et en calcule la signature 
RSA; durant un processus de personnalisation, F autorite de confiance 

20 donne identite et signature au temoin. Par la suite, le temoin proclame : 

" Void mon identite ; j'en connais la signature RSA. " Le temoin prouve 
sans la reveler qu'il connait la signature RSA de son identite. Grace a la cle 
publique de verification RSA distribute par Fautorite de confiance, une 
entite appelee " controleur '* verifie sans en prendre connaissance que la 

25 signature RSA correspond a Fidentite proclamee. Les mecanismes utilisant 

le precede GQ se deroulent " sans transfert de connaissance Selon le 
precede GQ, le temoin ne connait pas la cle privee RSA avec laquelle 
Fautorite de confiance signe un grand nombre d'identites. 
La technologie GQ precedemment decrite fait appel a la technologie RSA. 
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Mais si la technologie RSA depend bel et bien de la factorisation du 
module n, cette dependance n'est pas une equivalence, loin s'en faut, 
comme le demontrent les attaques dites "multiplicatives" contre les 
diverses normes de signature numerique mettant en oeuvre la technologie 
RSA. 

L'objectif de la technologie GQ2 est double : d'une part, ameliorer les 
performances par rapport a la technologie RSA ; d' autre part, eviter les 
problemes inherents a la technologie RSA. La connaissance de la cle privee 
GQ2 est equivalente a la connaissance de la factorisation du module n. 
Toute attaque au niveau des triplets GQ2 se ramene a la factorisation du 
module n : il y a cette fois equivalence. Avec la technologie GQ2, la charge 
de travail est reduite, tant pour Tentite qui signe ou qui s'authentifie que 
pour celle qui controle. Grace a un meilleur usage du probleme de la 
factorisation, tant en securite qu'en performance, la technologie GQ2 evite 
les inconvenients presentes par la technologie RSA. 

Le precede GQ met en ceuvre des calculs modulo des nombres de 512 bits 
ou davantage. Ces calculs concernent des nombres ay ant sensiblement la 
meme taille eleves a des puissances de Tordre de 2 16 + 1. Or les 
infrastructures microelectroniques existantes, notamment dans le domaine 
des cartes bancaires, font usage de microprocesseurs auto-programmables 
monolithiques depourvus de coprocesseurs arithmetiques. La charge de 
travail liee aux multiples operations arithmetiques impliquees par des 
precedes tels que le precede GQ, entraine des temps de calcul qui dans 
certains cas s'averent penalisant pour les consommateurs utilisant des 
cartes bancaires pour acquitter leurs achats. II est rappele ici, qu'en 
cherchant a accroitre la securite des cartes de paiement, les autorites 
bancaires posent un probleme particulierement delicat a resoudre. En effet, 
il faut traiter deux questions apparemment contradictoires : augmenter la 
securite en utilisant des cles de plus en plus longues et distinctes pour 
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chaque carte tout en evitant que la charge de travail n'entraine des temps 
de calcul prohibitifs pour les utilisateurs. Ce probleme prend un relief 
particulier dans la mesure ou, en outre, il convient de tenir compte de 
1' infrastructure en place et des composants microprocesseurs existants. 
La technologie GQ2 apporte une solution a ce probleme tout en renfor?ant 
la securite. 

La technologie GQ2 met en oeuvre des facteurs premiers ayant des 
proprietes particulieres. Differentes techniques existent pour produire ces 
facteurs premiers. La presente invention a pour objet un procede 
permettant de produire de maniere systematique de tels facteurs premiers. 
Elle concerne aussi F application qui peut etre faite de ceux-ci plus 
particulierement dans la mise en oeuvre de la technologie GQ2. On 
souligne des a present que ces facteurs premiers particuliers et le procede 
permettant de les obtenir sont susceptibles d' application en dehors du 
champ de la technologie GQ2. 

L' invention s' applique a un procede (procede GQ2) destine a prouver a 
une entite controleur, 

- 1' authenticity d'une entite et/ou 

- Fintegrite d'un message M associe a cette entite. 

Cette preuve est etablie au moyen de tout ou partie des parametres 
suivants ou derives de ceux-ci: 

- un module public m constitue par le produit de ff facteurs premiers p 1? 
p 29 ... p f (f etant superieur ou egal a 2), 

- un exposant public v ; 

- m nombres de base g 19 g 2? ... g m entiers, distincts, (m etant superieur 
ou egal a 1). 

Les nombres de base g ; sont tels que les deux equations (1) et (2) : 

x 2 = g. mod n et x 2 s - g. mod in 
n'ont pas de solution en x dans Tanneau des entiers modulo n, 
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et tel que T equation (3 ): 

x v a gj 2 mod n 

a des solutions en x dans l'anneau des entiers modulo n . 
Le procede selon 1' invention permet de produire les f facteurs premiers p lf , 
p 2> , ... p f . de telle sorte que les equations (1), (2) et (3) soient satisfaites. Le 
procede selon 1' invention comprend Tetape de choisir en premier : 

° les m riombres de base g lt , g v . . . g m , 

° la taille du module hh, 

° la taille des f facteurs premiers p v p 2t , . . . p f . 
Le procede concerne le cas ou 1'exposant public v est de la forme : 

v^2 k 

ou k est un parametre de securite plus grand que 1. On choisit egalement 
en premier le parametre de securite k. Cette valeur particuliere de 
Fexposant v est un des traits essentiels de la technologie GQ2. 
De preference, les m nombres de base g 1( , g 2( , ... g m , sont choisis au moins 
en partie parmi les premiers nombres entiers. De preference egalement, le 
parametre de securite k est un petit nombre entier, notamment inferieur a 
100. Avantageusement, la taille du module n est superieure a plusieurs 
centaines de bits. Avantageusement egalement, les f facteurs premiers p 1( , 
p 2 , . . . p f ont une taille voisine de la taille du module n divise par le nombre f 
de facteurs. 

Selon une caracteristique importante du procede selon Tinvention, les f 
facteurs premiers p^ p 2> , ... p f ne sont pas choisis de maniere quelconque. 
Parmi les f facteurs premiers p 1>5 p 2j , ... p f un certain nombre d'entre eux : e 
seront choisis congrus a 1 modulo 4. Ce nombre e de facteurs premiers 
peut etre nul. Dans le cas ou e est nul le module in sera ci-apres qualifie de 
module basique, dans le cas ou e > 0 le module in sera ci-apres qualifie de 
module rnixte. Les f-e autres facteurs premiers sont choisis congrus a 3 
modulo 4. Ce nombre f-e de facteurs premiers est au moins egal a 2. 
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Onoix des f-e factemirs premiers coegras a 3 modelo 4 
Pour produire les ff-e facteurs premiers p 1>5 p 2> , . . . p f . e congrus a 3 modulo 4, 
on met en oeuvre les etapes suivantes : 

- on choisit le premier facteur premier p x congru a 3 modulo 4 puis, 

- on choisit le deuxieme facteur premier p 2 tel que p 2 soit 
complementaire de pj par rapport au nombre de base g t . 

Pour choisir le facteur p i+1 , on precede comme suit en distinguant deux 
cas: 

(1) Casoui>m 

Dans le cas ou i> m, on choisit le facteur p i+1 congru a 3 modulo 4. 

(2) Cas ou i<s m 

Dans ce cas ou i<; m, on calcule le profil (Profflj(gj)) de g ; par rapport aux i 
premiers facteurs premiers p s , 

° si le Profiling;) est plat, on choisit le facteur p i+1 tel que p i+1 soit 
complementaire de p x par rapport a g h 

° sinon, on choisit parmi les i-1 nombres de bases g x , g 29 *.o g { _ x et 
toutes leurs combinaisons multiplicatives le nombre, ci-apres denomme g, 
tel que Proffnl^g) = Profil{(g|) 9 on choisit ensuite p i+1 tel que Profil i+1 (gi) * 
Proffl i+1 (g). 

Les expressions "complementaire", "profil", "profil plat" ont le sens 
defini dans la description. 

Pour choisir le dernier facteur premier p f . e on procede comme suit, en 
distinguant trois cas : 

(1) Cas ouf-e-1 >m 

Dans le cas ou f-e-1 > m, on choisit p f . e congru a 3 modulo 4. 

(2) Cas oii f-e-1 =m 

Dans le cas ou f-e-1 = m, on calcule Profil r . e . 1 (g m ) par rapport aux f-e-1 
premiers facteurs premiers, de p x a p^a, 

o si Prolfil f . e . 1 (g m ) est plat, on choisit p f . e . x tel qu'il soit 
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complementaire de pj par rapport a g m , 

° sinon, on precede comme il est ci-apres stipule. 
On choisit parmi les m-1 nombres de bases de g x a g m _ x et toutes leurs 
combinaisons multiplicatives le nombre, ci-apres denomme g 9 tel que 
Profiling) = Profilj(gi) puis, on choisit ensuite p f „ e tel que Profil f _ c (g) * 
Profil f . e (g m ). 

(3) Cas ou f-e-1 <m 
Dans le cas ou f-e-1 < m, on choisit p f . e tel que les deux conditions 
suivantes soient satisfaites : 

(3.1) Premiere condition. 

On calcule Profil f . e . 1 (g f . e . 1 ) par rapport aux f-e-1 premiers facteurs premiers, 
de pj a p f . e _i, Deux cas sont alors a considerer. Selon Tun ou 1'autre de ces 
deux cas, la premiere condition sera differente. 

Si Profil fH5 . 1 (g f . e . 1 ) est plat, on choisit p f . e tel qu'il satisfasse a la premiere 
condition d'etre complementaire de p t par rapport a (premiere 
condition selon le premier cas) sinon, on choisit parmi les f-e-1 nombres de 
bases de g x a g m .j et toutes leurs combinaisons multiplicatives le nombre, ci- 
apres denomme g ? tel que Profiling) = Profil f . e . 1 (g f . e . 1 ) puis, on choisit 
ensuite p f-e tel qu'il satisfasse a la condition d'etre tel que ProffiI f . e (g) * 
Profil f . e (g m ), (premiere condition selon le deuxieme cas) 

(3.2) Deuxieme condition 

On selectionne parmi Tensemble des derniers nombres de bases de g f . e a g m 
ceux dont le profil ProfiI ff ^_i(gj) est plat puis, on choisit p f . e tel qu'il 
satisfasse a la condition d'etre complementaire de p t par rapport a chacun 
des nombres de bases ainsi selectionnes (deuxieme condition). 

Cfooix dies e facteurs premiers comgruns a 1 modelo 4 
Pour produire les e facteurs premiers congrus a 1 modulo 4, on evalue 
chaque candidat facteur premier p , de p f ^ a p f , en lui faisant subir les deux 
tests successifs suivants. 
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(1) Premier test 

On calcule le symbole de Legendre de chaque nombre de base g; , de g x a 

g m , par rapport au facteur premier p candidat, 

o si le symbole de Legendre est egal a -1 , on rejette le candidat p, 

° si le symbole de Legendre est egal a +1, on poursuit 1'evaluation du 

candidat p en passant au nombre de base suivant puis, lorsque le dernier 

nombre de base a ete pris en compte on passe au deuxieme test, 

(2) Deuxieme test, 

On calcule un nombre entier t tel que p-1 est divisible par 2* mais pas par 
2 l+1 puis, on calcule un entier s tel que s = (p-l+2 l )/2 t+1 . 
On applique la cle ( s 9 p) a chaque valeur publique G { pour obtenir un 
resultat r 

rr = G { s mod p 

Si r est egal a g; ou - <g x , on poursuit le deuxieme test en passant a la valeur 
publique G i+1 suivante. 

Si r est different de g; ou - g s , on calcule un facteur mi en appliquant 
Falgorithme ci-apres specifie pour un indice ii allant de 1 a t-2. 
L'algorithme met en oeuvre deux variables : w initialisee par r et jj = 2" 
prenant des valeurs allant de 2 a 2 t 2 , ainsi qu'un nombre b obtenu par 
Tapplication de la cle < (p-l)/2 l 9 p> a un residu non quadratique de CG(p). 
L'algorithme consiste a repeter autant que necessaire, la sequence 
suivante: 

° Etape 1 : on calcule w^G^mod p). 

° Etape 2 : on eleve le resultat a la puissance 2 t_iM . Deux cas sont a 
considerer. 
Premier cas 

SLon obtient +1 , on passe a la valeur publique G M suivante et on poursuit 
le deuxieme test pour cette valeur publique. 
Deuxieme cas. 
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Si on obtient -1, on calcule jj = 2" puis, on remplace w par w.b" (mod p). 
Ensuite, on poursuit Talgorithme pour la valeur suivante de Tindice ii. 
A Tissue de Talgorithme, la valeur figurant dans la variable jj permet de 
calculer un nombre entier u par la relation jj = 2 tlJ puis, on calcule 
P expression t-u. Deux cas se presentent : 
° si t-u < k , on rejette le candidat p 

° si t-u k, on continue revaluation du candidat p en passant a la 
valeur publique G i+1 suivante puis, en poursuivant le deuxieme test. 
Le candidat p est accepte comme facteur premier congru a 1 modulo 4 si a 
Tissue du deuxieme test, pour toutes les m valeurs publiques G; , il n'a pas 
ete rejete. 

Application atutx vaflemrs puMiqees et privees de GQ2 
La presente invention concerne egalement un procede (procede GQ2) 
faisant application du procede qui vient d'etre decrit et qui permet, 
rappelons le, de produire f facteurs premiers p v p^, ... p f ayant des 
proprietes particulieres. Le procede faisant application du procede qui 
vient d'etre decrit est destine a prouver a une entite controleur, 

- T authenticity d'une entite et/ou 

- Tintegrite d'un message M associe a cette entite, 

Cette preuve est etablie au moyen de tout ou partie des parametres 
suivants ou derives de ceux-ci: 

- m couples de valeurs privees Q 19 Q 2? ... Q m et publiques G 19 ,G 29 ... 
G m (m etant superieur ou egal a 1), 

- le module public n constitue par le produit desdits f facteurs premiers 
Pi? P 2 > ••• Pf ( f etant superieur ou egal a 2), 

- Texposant public v . 

Ledit module, ledit exposant et lesdites valeurs sont lies par des relations 
du type : 

Gi . Q; v « 1 . mod nouGjs Q. v mod n . 
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Ledit exposant v est tel que 

v = 2 k 

ou k est un parametre de securite plus grand que 1 . 

Ladite valeur publique G t est le carre g 2 du nombre de base gj inferieur aux 
f facteurs premiers p 19 p 2 ? ... p f . Le nombre de base g ; est tel que les deux 
equations : 

x 2 = gj mod in et x 2 = - g; mod n 
n'ont pas de solution en x dans l'anneau des entiers modulo n et tel que 
F equation : 

x v = g 2 mod n 

a des solutions en x dans l'anneau des entiers modulo ml. 

Ledit procede met en ceuvre selon les etapes suivantes une entite appelee 

temoin. Ladite entite temoin dispose des f facteurs premiers p, et/ou des 

parametres des restes chinois des facteurs premiers et/ou du module public 

ml et/ou des m valeurs privees Qj et/ou des fan composantes Q itJ (Q u j s Q { 

mod p.) des valeurs privees Qjet de r exposant public v . 

Le temoin calcule des engagements R dans l'anneau des entiers modulo n . 

Chaque engagement est calcule : 

° soit en effectuant des operations du type 

Rsr v mod n 
ou r est un alea tel que 0 < r < ml, 

° soit en effectuant des operations du type 

Rj s mod P; 

ou Fjest un alea associe au nombre premier pj tel que 0 < r { < p s , chaque r s 
appartenant a une collection d'aleas , r 2 5 «o. r f }, puis en appliquant la 
methode des restes chinois. 

Le temoin regoit un ou plusieurs defis d. Chaque defi d comportant m 
entiers dj ci-apres appeles defis elementaires. Le temoin calcule a partir de 
chaque defi d une reponse D, 
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° soit en effectuant des operations du type : 

Bsr.Q I dl ,Q 2 d2 . ... Q m dm mod n 
° soit en effectuant des operations du type : 

IJi-r,. Q i4 dl . Q w d2 . ... mod p. 

puis, en appliquant la methode des restes chinois. 

Le procede est tel qu'il y a autant de reponses D que de defis d que 
d 5 engagements R 9 chaque groupe de nombres R 9 d 9 B constituant un 
triplet note {R 9 d 9 B}. 

De preference, pour mettre en oeuvre, comme il vient d'etre decrit, les 
couples de valeurs privees Q 19 Q 29 ... Q m et publiques G 19 G 29 ... G m , on 
utilise les facteurs premiers p 19 p 29 ... p f et/ou les parametres des restes 
chinois, les nombres de bases g l9 g 29 ... g m et/ou les valeurs publiques G, 9 
G 29 ... G m pour calculer : 

- soit les valeurs privees Q 19 Q 29 ... Q m en extrayant une k ieme racine 
carree modulo un de G { , ou en prenant r inverse d'une k ieme racine carree 
modulo n de G;, 

- soit les fjnm composantes privees Q if j des valeurs privees Q 19 Q 29 ... 
Q m , telles que Q^j = Q, (mod pp , 

Plus particulierement, pour calculer les f jnrn composantes privees Q u j des 
valeurs privees Q 19 Q 29 ... Q m : 

- on applique la cle < s 9 pj ) pour calculer z tel que 

% s Gj s (mod pj) 

- et on utilise les valeurs t et m . 

Les valeurs t et u sont calculees comme il a ete indique ci-dessus dans le 
cas ou pj est congru a 1 modulo 4. Les valeurs t et u sont prises 
respectivement egales a 1 (t=l) et 0 (u=0) dans le cas ou pj est congru a 3 
modulo 4. 

Si la valeur u est nul, on considere T ensemble des nombres zz tels que : 
o o o 2 z soit egale a z ou tel que 
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• • • zz soit egale au produit (mod pj) de z par chacune des 
2 iU racines 2" iemes primitives de l'unite, ii allant de 1 a min(k,t) . 
Si u est positif, on considere F ensemble des nombres zz tels que zz soit 
egale au produit (mod pj) de za par chacune des 2 k racines 2 k iemes de 
5 T unite, za designant la valeur de la variable w a Tissue de Falgorithme ci- 

dessus decrit. 

On en deduit au moins une valeur de la composante Q hj . Elle est egale a zz 
lorsque V equation G; s Q; v mod n est utilisee ou bien elle est egale a 
l'inverse de zz modulo pj de zz lorsque Fequation Gj . Q s v e 1 . mod n est 
10 utilisee. 
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Description 

Rappelons Tobjectif de la technologie GQ : T authentication dynamique 
d'entites et de messages associes, ainsi que la signature numerique de 
messages. 

La version classique de la technologie GQ fait appel a la technologie RSA. 
Mais, si la technologie RSA depend bel et bien de la factorisation, cette 
dependance n'est pas une equivalence, loin s'en faut, comme le 
demontrent les attaques dites « multiplicative s » contre diverses normes de 
signature numerique mettant en ceuvre la technologie RSA. 
Dans le cadre de la technologie GQ2, la presente partie de l'invention porte 
plus precisement sur la production des jeux de cles GQ2 destines a assurer 
T authentication dynamique et la signature numerique. La technologie 
GQ2 ne fait pas appel a la technologie RSA. L'objectif est double : d'une 
part, ameliorer les performances par rapport a la technologie RSA ; d' autre 
part, eviter les problemes inherents a la technologie RSA. La cle privee 
GQ2 est la factorisation du module n. Toute attaque au niveau des triplets 
GQ2 se ramene a la factorisation du module n : il y a cette fois equivalence. 
Avec la technologie GQ2, la charge de travail est reduite, tant pour Tentite 
qui signe ou qui s'authentifie que pour celle qui controle. Grace a un 
meilleur usage du probleme de la factorisation, tant en securite qu'en 
performance, la technologie GQ2 concurrence la technologie RSA. 
La technologie GQ2 utilise un ou plusieurs petits nombres entiers plus 
grands que 1 , disons m petits nombres entiers (m s> 1) appeles « nombres de 
base » et notes par g r Puis, on choisit une cle publique de verification (v, n) 
de la maniere suivante. L'exposant public de verification v est 2 k oil k est 
un petit nombre entier plus grand que 1 (A: ^2). Le module public n est le 
produit d'au moins deux facteurs premiers plus grands que les nombres de 
base, disons/facteurs premiers (fiz 2) notes par p p de p { . . . p f . Les/facteurs 
premiers sont choisis de fa?on a ce que le module public n ait les proprietes 
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suivantes par rapport a chacun des m nombres de base de g x a g m . 

- D'une part, les equations (1) et (2) n'ont pas de solution en x dans 
Fanneau des entiers modulo n, c'est-a-dire que g f et -g ( sont deux 
residus non quadratiques (mod n). 

x 2 = g; (mod n) (l) 
x 2 s -g. (mod n) (2) 

- D'autre part, l'equation (3) a des solutions en x dans Tanneau des 

entiers modulo n. 

x 2 = gf (mod n) (3) 

Par la suite, ces proprietes sont encore appelees les principes GQ2. 
La cle publique de verification (v, n) etant fixee selon les nombres de base 
de g x a g m avec m 2= 1, chaque nombre de base g ( determine un couple de 
valeurs GQ2 comprenant une valeur publique G ( et une valeur privee Q t : 
soit m couples notes de G x Q x a G m Q m . La valeur publique G, est le carre du 
nombre de base g ( : soit G t - g t 2 . La valeur privee Q t est une des solutions a 
l'equation (3) ou bien Tinverse (mod n) d'une telle solution. 
De meme que le module n se decompose en /facteurs premiers, Tanneau 
des entiers modulo n se decompose en / corps de Galois, de CGO^) a 
CG(p f ). Voici les projections des equations (1), (2) et (3) dans CG(p ; ). 
x 2 =g t (mod Pj ) (La) 

x 2 = -gi (mod Pj ) (2 .a) 

x 2 * =gf (mod Pj ) (3-a) 
Chaque valeur privee Q t peut se representer de maniere unique par / 
composantes privees, une par facteur premier : Q i%j s Q t (mod pp. Chaque 
composante privee Q lV est une solution a l'equation (3 .a) ou bien l'inverse 
(mod p) d'une telle solution. Apres que toutes les solutions possibles a 
chaque equation (3 .a) aient ete calculees, la technique des restes chinois 
permet d'etablir toutes les valeurs possibles pour chaque valeur privee Q x a 
partirde/ composantes de Q iX a Q if : Q t = Restes Chinois (Q iU Q i2 , ... Q t p 
de maniere a obtenir toutes les solutions possibles a l'equation (3). 



FEUILLE DE REMPLACEMENT (REGLE 26) 



WO 00/46947 , A PCT/FROO/00189 

14 



Voici la technique des restes chinois : soient deux nombres entiers positifs 
premiers entre eux a et b tels que 0 < a < b, et deux composantes X a de 0 a 
a-l et X b de 0 a b-\ ; il s'agit de determiner X = Restes Chinois (X a , X b ), 
c'est-a-dire, le nombre unique X de 0 a ab-\ tel que X a = X(moda) et 
X b = X(mod b). Voici le parametre des restes chinois : a s {b (mod a)}' 1 
(mod a). Voici 1' operation des restes chinois : e = X b (mod a) ; 5 = ; si 6 
est negatif , remplacer 6 par ; y s a . 5 (mod a) ; X = y . & + X b . 
Lorsque les facteurs premiers sont ranges dans Fordre croissant, du plus 
petit /?! au plus grand p p les parametres des restes chinois peuvent etre les 
suivants (il y en a/-l, c'est-a-dire, un de moins que de facteurs premiers). 
Le premier parametre des restes chinois est a = {p 2 (mod p x )}~ 1 (mod p x ). Le 
second parametre des restes chinois est j3 a {p x ,p 2 (mod p 3 )Y l (mod /? 3 ). Le i 
ieme parametre des restes chinois est A = {pj ,p 2 — p L , (mod a*)}" 1 (mod 
Et ainsi de suite. Ensuite, en f-\ operations des restes chinois, on etablit un 
premier resultat (mod p 2 fois p x ) avec le premier parametre, puis, un second 
resultat (mod p l .p 2 fois p 3 ) avec le second parametre, et ainsi de suite, 
jusqu'a un resultat (mod p x . . . . p f } fois p f ), c'est-a-dire, (mod n). 
L'objet de Tinvention est une methode pour produire au hasard n'importe 
quel jeu de cles GQ2 parmi tous les jeux possibles, a savoir : 

produire au hasard n'importe quel module parmi tous les modules GQ2 
possibles, c'est-a-dire, les modules assurant que, pour chacun des m 
nombres de base g i9 les equations (1) et (2) n'ont pas de solution en x 
dans l'anneau des entiers modulo n alors que l'equation (3) en a. 
calculer toutes les solutions possibles a chacune des equations (3 .a). La 
technique des restes chinois permet ensuite d'obtenir une valeur 
privee £> a partir de chaque jeu de / composantes de Q i X a Q if de 
maniere a obtenir n'importe quelle solution enia l'equation (3) parmi 
toutes les solutions possibles. 

Q x = Restes Chinois (<2 U , <2 I(2 , • - . Q if ) 
Pour apprehender le probleme, puis, comprendre la solution que nous 
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donnons au probleme, c'est-a-dire, l'invention, nous analysons tout 
d'abord 1' applicability des principes de la technologie GQ2. Commengons 
par rappeler la notion de rang dans un corps de Galois CG(p) afin d'etudier 
les fonctions « elever au carre dans CG(p) » et « prendre une racine carree 
d'un residu quadratique dans CG(p) ». Puis, analysons Texistence et le 
nombre de solutions en x dans CG(p) aux equations (l.a), (2. a) et (3 .a). 
Rang dies elements dams CG(p) 

Soit un nombre premier impair p et un nombre entier positif a plus petit que 

p. Definissons la suite {X}. 

{X }= {jtj = a ; puis, pour i s> 1, x M = a.x i (mod p) } 

Calculons le terme pour Tindice i+p et utilisons le theoreme de Fermat. 
x Up = a p jC; = a.X; = x M (mod/?) 

Par consequent, la periode de la suite {X} est p-l ou un diviseur de p-l. 
Cette periode depend de la valeur de a. Par definition, cette periode est 
appelee « le rang de a (mod p) ». C'est Tindice d'apparition de Tunite dans 
la suite {X} . 

X rang{a,p)= l (™°& P) 

Par exemple, lorsque (p-l)/2 est un nombre premier impair p\ le corps de 
Galois CG(p) comporte un seul element de rang 1 : c'est 1 , un seul element 
de rang 2 : c'est elements de rang p\p'-\ elements de rang 2p\ 

c'est-a-dire, de rang p-l . 

Les elements de CG(p) ay ant pour rang p-l sont appeles les elements 
« primitifs » ou encore, « generateurs » de CG(p). La denomination est due 
au fait que leurs puissances successives dans CG(p), c'est-a-dire, les termes 
de la suite {X} pour les indices allant de 1 a p-l , forment une permutation 
de tous les elements non nuls de CG(p). 

Soit un element primitif y de CG(p). Evaluons le rang de Felement y l 
(mod p) en fonction de i et de p-l. Lorsque i est premier avec p-l, c'est 
p-l. Lorsque / divise p-l, c'est (p-l)//. Dans tous les cas, c'est 
(p-l)/pgcd(p-l,0. 
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La fonction d'Euler est notee par <p. Par definition, n etant un nombre 
entier positif , cp(n) est le nombre de nombres entiers positifs, plus petits que 
n et premiers avec n. Dans le corps CG(p), il y a done qp(p-l) elements 
primitifs. 

A titre d' illustration, voici la base de la technologie RSA. Le module public 
n est le produit de / facteurs premiers, de p x a p f avec / ^ 2, tel que pour 
chaque facteur premier p p Texposant public v est premier avec p r \ . La cle 
(v, pj) respecte le rang des elements de CGO^) : elle les permute. La 
permutation inverse s'obtient par une cle {sj,p) telle que p r \ divise vs r \ . 
Carres et racines canrees dans CG(p) 

Les elements x et p-x ont le meme carre dans CG(p). La cle (2, p) ne 
permute pas les elements de CG(p) parce que p-1 est pair. Pour chaque 
nombre premier p, definissons un nombre entier / de la maniere suivante : 
p-1 est divisible par 2', mais pas par 2' +1 , e'est-a-dire que p est congru a 
2 f +l (mod 2' +1 ). Par exemple, t = 1 lorsque p est congru a 3 (mod 4) ; t = 2 
lorsque p est congru a 5 (mod 8) ; t = 3 lorsque p est congru a 9 (mod 1 6) ; 
t = 4 lorsque p est congru a 17 (mod 32) ; et ainsi de suite. Chaque nombre 
premier impair figure dans une et une seule categorie : p figure dans la t 
ieme categorie. En pratique, si Ton considere un assez grand nombre de 
nombres premiers successifs, environ un sur deux figure dans la premiere 
categorie, un sur quatre dans la deuxieme, un sur huit dans la troisieme, un 
sur seize dans la quatrieme, et ainsi de suite ; en resume, un sur 2* en 
moyenne figure dans la t ieme categorie. 

Considerons le comportement de la fonction « elever au carre dans CG(p) » 

selon la parite du rang de Targument. 

H y a un seul element fixe : e'est 1. Le carre de tout autre element de 
rang impair est un autre element ayant le meme ran g. Par consequent, la 
cle (2,p) permute l'ensemble des (p-l)/2' elements de rang impair. Le 
nombre de cycles de permutation depend de la factorisation de 
(p_l)/2 f . Par exemple, lorsque (p-l)/2' est un nombre premier p\ il y a 
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un grand cycle de permutation comportant p -1 elements. 
Le carre de tout element de rang pair est un autre element dont le rang 
est divise par deux . Par consequent, les elements de rang pair se 
repartissent sur (p-l)/2 r branches ; chaque element non nul de rang 
impair porte une branche de longueur t comportant 2-1 elements, a 
savoir : un element de rang divisible par deux mais pas par quatre, puis, 
si t > 2, deux elements de rang divisible par quatre mais pas par huit, 
puis, si t 5: 3, quatre elements de rang divisible par huit mais pas par 
seize, puis, si t s= 4, huit elements de rang divisible par seize mais pas par 
32, et ainsi de suite. Les 2'" 1 extremites de chaque branche sont des 
residus non quadratiques ; leur rang est divisible par 2'. 
Les figures 1 A a ID iUustrent la fonction « elever au carre dans CG(p) » par 
un graphe oriente ou chacun des p-l elements non nuls du corps trouve sa 
place : les residus non quadratiques sont en blanc et les residus 
quadratiques en noir ; parmi les residus quadratiques, les elements de rang 
impair sont encercles. 
Ces figures presentent respectivement : 

figure 1 A : cas oup est congru a 3 (mod 4) ; 
figure IB : cas ou p est congru a 5 (mod 8) ; 
figure 1 C : cas ou p est congru a 9 (mod 16) ; 
figure ID : cas ou p est congru a 17 (mod 32). 

Voyons comment calculer une solution en x a F equation x 1 e a (mod p) 
sachant que a est un residu quadratique de CG(p), c'est-a-dire, comment 
« prendre une racine carree dans CG(p) ». H y a bien sur plusieurs fa9ons 
d'obtenir le meme resultat : le lecteur pourra avantageusement consulter les 
pages 31 a 36 du livre de Henri Cohen, a Course in Computational 
Algebraic Number Theory, publie en 1993 par Springer a Berlin comme le 
volume 138 de la serie Graduate Texts in Mathematics (GTM 138). 
Calculons un nombre entier s = (p-l+2')/2 /+1 pour etablir une cle (s, p). 
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Soit : ((/h-I)^,/?) lorsque p est congru a 3 (mod 4), <(p+3)/8, p) lorsque p 
est congru a 5 (mod 8), <(p+7)/16, p) lorsque p est congru a 9 (mod 16), 
<(p+15)/32 9j p> lorsque p est congru a 17 (mod 32), et ainsi de suite. 

La cle (s 9 p) donne la racine carree de rang impair de n'importe quel 
element de rang impair. En effet, dans CG(p), r^la vaut a eleve a la 
puissance (2.(p-l+20/2 ' +1 )-1 = (p-l)/2'. Par consequent, lorsque a est 
sur un cycle, la cle (s, p) transforme a en une solution que nous 
nommons w. L' autre solution est p-w. 

D'une maniere generate, la cle (s, p) transforme tout residu quadratique 
a en une premiere approximation de solution que nous nommons r. 
Voici deux points cles, puis, Febauche d'une methode pour ameliorer 
pas a pas F approximation jusqu'a une racine carree de a. 

D'une part, puisque a est un residu quadratique, la cle (2 M , p) 

transforme certainement r 2 /*? en 1 . 

D' autre part, supposons que nous connaissons un residu non 
quadratique de CG(p) que nous nommons y ; la cle ((p-l)/2', p) 
transforme y en un element que nous nommons b : c'est une racine 
2 M ieme de -1 ; en effet, y^ 12 = -1 (mod p). Par consequent, dans 
CG(p), le groupe multiplicatif des 2' racines 2' iemes de F unite est 
isomorphe au groupe multiplicatif des puissances de b pour les 
exposants de 1 a T . 

Pour se rapprocher d'une racine carree de a, elevons rVa a la 
puissance 2 /_2 (mod p) : le resultat est +1 ou -1. La nouvelle 
approximation reste r si le resultat est +1 ou bien devient b.r (mod 
p) si le resultat est -1. Par consequent, la cle <2 f " 2 , p) transforme 
certainement la nouvelle approximation en 1 . On peut continuer a 
se rapprocher : au prochain pas, on ajustera s'il le faut en 
multipliant par b 2 (mod p) ; et ainsi de suite. 
L'algorithme suivant etablit des approximations successives pour aboutir a 
une racine carree de a a partir des nombres entiers r et b definis ci-dessus ; 

FEUILLE DE RERflPLACEMENT (REGLE 26) 



WO 00/46947 PCT/FR00/OO189 



il utilise deux variables entieres : w initialisee par r pour representer les 
approximations successives et jj prenant des valeurs parmi les puissances 
de2,de2a2'" 2 . 

Pour i allant de 1 a r-2, repeter la sequence suivante : 
5 - Calculer vPla (mod /?), puis, elever le resultat a la puissance 2'"'" 1 (mod p) : 

on doit obtenir +1 ou -1. Lorsque Ton obtient -1, calculer jj = 2\ puis, 
remplacer w par w.b" (mod /?). Lorsque Ton obtient +1 , ne rien faire. 
A Tissue du calcul, w et p~w sont les deux racines carrees de a dans CG(p). 
En outre, nous apprenons que le rang de a dans CG(p) est divisible par 2'fjj 

10 mais pas par 2 t+i /jj. La pertinence de cette remarque apparaitra par la suite. 

Aealyse des primcipes de la technologie GQ2 dams CG(p) 
Soit deux nombres entiers g et k plus grands que 1 et un nombre premier p 
plus grand que g. Analysons l'existence et le nombre de solutions en x 
dans CG{p) aux equations (1 .a), (2. a) et (3 .a). 

15 Dans le corps de Galois CG(p), distinguons differents cas selon la valeur de 

r, c'est-a-dire, selon la puissance de deux qui divise p-l. Rappelons que 
p-l est divisible par 2\ mais pas par 2' +1 , c'est-a-dire que p est congru a 
2'+l (mod 2' +1 ). L'analyse precedente nous donne une idee assez precise 
du probleme pose ainsi qu'une ebauche de solution. 

20 Lorsquae t=t 9 p est congru a 3 (mod 4). Les symboles de Legendre de g et 

-g par rapport a p sont differents ; tout residu quadratique de CG(p) a 
deux racines carrees dans CG(p) : Tune est un residu quadratique et T autre 
un residu non quadratique. D'une part, une des deux equations (La) ou 
(2 .a) a deux solutions en x dans CG(p) et V autre n'en a pas. D 5 autre part, 

25 Fequation (3 .a) a deux solutions en x dans CG(p) quelle que soit la valeur 

defc. 

Lorsque t = 2 ? p est congru a 5 (mod 8). Deux cas se presentent selon le 
symbole de Legendre de g par rapport a p. Lorsque le symbole vaut -1, g 
et -g sont deux residus non quadratiques de CG(p) : les trois equations 
30 (La), (2.a) et (3 .a) n'ont pas de solution en x dans CG(p). Lorsque le 



FEU1LLE DE REMPLACEMENT (REGLE 26) 



WO 00/46947 



20 



PCT/FR00/00189 



symbole vaut +1 , g et -g sont deux residus quadratiques de CG(p), chaque 
equation (1 .a) et (2 .a) a deux solutions en x dans CG(p) ; de plus, le rang de 
g 2 dans CG(p) est impair, ce qui implique que quelle que soit la valeur de k, 
Fequation (3 .a) a quatre solutions en x dans CG(p) dont une seule de rang 
impair. 

La figure 2 illustre les solutions a Fequation (3 .a) avec k = 6 et p congru a 5 

(mod 8), soit t = 2. Remarquons que, parce que le symbole de Legendre de 

2 par rapport a p congru a 5 (mod 8) vaut -1, 2 (/> ~ l)M (mod p) est alors une 

racine carree de -1 . On a done : 

p = 5 (mod 8) ; par consequent : (2|/?)= - 1 

p s 2 4 (mod p);donc b 2 = -1 (mod p) 

Lorsqee t = 3 9 p est congru a 9 (mod 16). Considerons le symbole de 
Legendre de g par rapport a p. Lorsque le symbole vaut -1, g et -g sont 
deux residus non quadratiques de CG(p) : les trois equations (La), (2.a) et 
(3 .a) n'ont pas de solution en x dans CG(p). Lorsque le symbole vaut +1, g 
et —g sont deux residus quadratiques de CG(p) ; chaque equation (La) et 
(2.a) a deux solutions en x dans CG(p) ; Fexistence de solutions en x a 
Fequation (3 .a) depend du rang de g 2 dans CG(p) : ce rang est impair ou 
divisible par deux, mais pas par quatre. Lorsque le rang de g 2 dans CG(p) 
est divisible par deux, mais pas par quatre, Fequation (3 .a) a quatre 
solutions en x dans CG(p) pour k = 2 ; elle n'en a pas pour k * 3. Lorsque 
le rang de g 2 dans CG(p) est impair, Fequation (3 .a) a quatre solutions en x 
dans CG(p) pour k = 2 et huit pour k s> 3 ; dans les deux cas, une seule est 
de rang impair. 

Lorsqee t = 4, /? est congru a 17 (mod 32). Considerons le symbole de 
Legendre de g par rapport a p. Lorsque le symbole vaut -1, g et -g sont 
deux residus non quadratiques de CG(p) : les trois equations (La), (2.a) et 
(3 .a) n'ont pas de solution en x dans CG(p). Lorsque le symbole vaut +1, g 
et -g sont deux residus quadratiques de CG(p) ; chaque equation (La) et 
(2 .a) a deux solutions en x dans CG(p) ; Fexistence de solutions en x a 
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Fequation (3 .a) depend du rang de g 2 dans CG(p) : ce rang est impair ou 
divisible par deux ou quatre, mais pas par huit. Lorsque le rang de g 2 dans 
CG(p) est divisible par quatre, mais pas par huit, Fequation (3.a) a quatre 
solutions en x dans CG(p) pour k = 2 ; elle n'ena pas pour k £= 3. Lorsque 
le rang de g 2 dans CG(p) est divisible par deux, mais pas par quatre, 
l'equation (3 .a) a quatre solutions en x dans CG(p) pour fe = 2ou huit pour 
k = 3 ; elle n'en a pas pour k s> 4. Lorsque le rang de g 2 dans CG(p) est 
impair, Fequation (3 .a) a quatre solutions en x dans CG(p) pour A; = 2, huit 
pour k = 3 et seize pour A: & 4 ; dans les trois cas, une seule est de rang 
impair. 

Et aimisi de smite, de sorte que le cas ou p est congru a 1 (mod 4) peut se 
resumer comme suit. 

Lorsqee p est comigra a 1 (mod 4) 9 considerons le symbole de Legendre 
de g par rapport a p. Lorsque le symbole vaut -1 , g et -g sont deux residus 
non quadratiques de CG(p) : les trois equations (l.a), (2.a) et (3 .a) n'ont 
pas de solution en x dans CG(p). Lorsque le symbole vaut +1, g et -g sont 
deux residus quadratiques de CG(p) ; chaque equation (l.a) et (2.a) a deux 
solutions en x dans CG(p). Definissons le nombre entier u : le rang de g 2 
dans CG(p) est divisible par 2", mais pas par 2 W+1 ; la valeur de u figure 
parmi les t-\ valeurs possibles, de 0 a t-2. L'existence et le nombre de 
solutions en x dans CG(p) a l'equation (3 .a) depend des valeurs de k y t et u. 
Lorsque u est positif et k est superieur a t-u, Fequation (3.a) n'a pas de 
solution en x dans CG(p). Lorsque u est nul et k superieur a t, Fequation 
(3 .a) a 2* solutions en x dans CG(p). Lorsque k inferieur ou egal a t-u, 
Fequation (3 .a) a 2 k solutions en x dans CG(p). 

Applicability des priimcipes GQ2 dams les airaeaox d ? entiers modulo 
Pour que Fequation (1), respectivement (2), n'ait pas de solution en x dans 
Fanneau des entiers modulo n y il faut et il suffit que, pour au moins un des 
facteurs premiers /?, de p x a p p Fequation (l.a), respectivement (2.a), n'ait 
pas de solution en x dans CG(p). 
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Pour que Inequation (3) ait des solutions en x dans Fanneau des entiers 
modulo n, il faut et il suffit que, pour chacun des facteurs premiers p, de p x a 
p p Fequation (3 .a) ait des solutions en x dans CG(p). 

L'equation (3) interdit tout facteur premier p congru a 1 (mod 4) des que 
pour Tun des nombres de base g, de g } ag m : ou bien, le symbole de 
Legendre de g par rapport a p est egal a -1 ; ou bien, le symbole de 
Legendre de g par rapport a p est egal a +1 avec la condition : u positif et 
superieur a t-k. Pour qu'un facteur premier p congru a 1 (mod 4) soit 
possible, il doit remplir Tune des deux conditions suivantes pour chacun 
des nombres de base g, de g x a g m , selon les deux nombres entiers t et u 
definis ci-dessus. Ou bien, le rang de G = g 2 est impair dans CG(p), c'est-a- 
dire, u = 0, quelle que soit la valeur de k. Ou bien, le rang de G = g 2 est pair 
dans CG(p), c'est-a-dire, u > 0, et il satisfait la condition + 
Un produit de facteurs premiers congrus a 1 (mod 4) ne peut assurer 
Fensemble des principes de la technologie GQ2. Chaque module GQ2 doit 
avoir au moins deux facteurs premiers congrus a 3 (mod 4) tels que, pour 
chaque nombre de base g, le symbole de Legendre de g par rapport a Fun 
differe du symbole de Legendre de g par rapport a F autre. Lorsque tous les 
facteurs premiers sont congrus a 3 (mod 4), on dira que le module GQ2 est 
basiqee. Lorsqu'en plus d'au moins deux facteurs premiers congrus a 3 
(mod 4), le module inclut un ou plusieurs facteurs premiers congrus a 1 
(mod 4), on dira que le module GQ2 est mixlte. 
Comstrecltioini systematiqee de modnales GQ2 

Au depart, il faut fixer les contraintes globales a imposer au module n : une 
taille en bits (par exemple, 512 ou 1024 bits) ainsi qu'un nombre de bits 
successifs a 1 en poids forts (au moins un bien sur, typiquement 16 ou 32 
bits), un nombre /de facteurs premiers et un nombre e (pouvant etre nul) 
de facteurs premiers devant etre congrus a 1 (mod 4) ; les autres facteurs 
premiers, soit f-e facteurs, au moins deux, doivent etre congrus a 3 (mod 4). 
Le module n sera le produit de / facteurs premiers de tailles voisines. 
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Lorsque e = 0, on obtient un module GQ2 basique; lorsque e>0, on 
obtient un module GQ2 mixte. Un module basique est le produit de 
facteurs premiers tous congrus a 3 (mod 4). Un module GQ2 mix te apparatt 
done comme le produit d'un module GQ2 basique par un ou plusieurs 
autres facteurs premiers congrus a 1 (mod 4). On produit d'abord des 
facteurs premiers congrus a 3 (mod 4). Ensuite, si e > 0, on produit des 
facteurs premiers congrus a 1 (mod 4). 

Pour Tefficacite de la construction de modules GQ2. il vaut bien mieux 
selectionner chaque candidat avant de chercher a savoir s'il est premier. 
Notes par g x g 2 ... , les nombres de base figurent typiquement parmi les 
premiers nombres premiers : 2, 3, 5, 7, ... Faute dedication contraire, les m 
nombres de base sont les m premiers nombres premiers : g x = 2, g 2 = 3, 
g 3 = 5, g 4 = 7, . . . Toutefois, notons les remarques suivantes : il faut eviter 2 
si Ton escompte un facteur congru a 5 (mod 8) ; il faut eviter 3 si Ton doit 
utiliser la cle publique <3, n) comme cle publique de verification RSA. 
Choix &ef-e ffacteiuurs premiers comigras a 3 (mod 4) 
A partir du deuxieme facteur, le programme demande et utilise un nombre 
de base par facteur. Pour le choix du dernier facteur congru a 3 (mod 4), le 
programme demande s'il y a d'autres nombres de base, e'est-a-dire, si m est 
egal ou superieur hf-e, puis, si tel est le cas, demande et prend en compte 
les derniers nombres de base, de g f ^ a g m . Pour formaliser le choix des 
facteurs premiers congrus a 3 (mod 4), nous avons introduit une notion de 
profil ; le profil caracterise un nombre entier g par rapport a un ensemble 
de facteurs premiers plus grands que g et congrus a 3 (mod 4). 

- Lorsqu'un nombre entier g a le meme symbole de Legendre par rapport 
a deux facteurs premiers, on dit que les facteurs premiers sont 
e qeivaileinits par rapport a g. Sinon, ils sont commplemeinitaires par 
rapport a g. 

- Note par Profil/g), le proffil d'un nombre entier g par rapport a/facteurs 
premiers p x p 2 est une sequence de/bits, un bit par facteur premier. 
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Le premier bit vaut 1 ; chaque bit suivant vaut 1 oil 0 selon que le 
facteur suivant est equivalent ou complementaire de p x par rapport a g. 

- Lorsque tous les bits d'un profil sont egaux a 1, on dit que le profil est 
plait . Dans un tel cas, tous les symboles de Legendre de g sont egaux a 

5 +1 , ou bien, a -1 . Lorsque le profil de g est non plat, les equations (1) et 

(2) n'ont pas de solution en x dans Tanneau des entiers modulo n. 

- Par definition, le profil de g par rapport a un seul nombre premier cpngru 
a 3 (mod 4) est toujours plat. Cette extension permet de generaliser 
Falgorithme de choix des facteurs premiers congrus a 3 (mod 4). 

10 Lorsque les profils de deux nombres de base g x et g 2 sont differents, ce qui 

implique au moins trois facteurs premiers congrus a 3 (mod 4), la 
connaissance des deux valeurs privees Q x et Q 2 induit la connaissance de 
deux decompositions differentes du module n. Lorsque les nombres de 
base sont des petits nombres premiers, le programme assure que les profils 

15 des 2 / ^" 1 -l combinaisons multiplicatives des f-e-l premiers nombres de 

base sont tous differents : ils prennent toutes les valeurs possibles. La 
notion de profit ne s'etend pas aux facteurs premiers congrus a 1 (mod 4V 
Premier facteer premier p x congra a 3 (mod 4) : Chaque candidat doit 
etre congru a 3 (mod 4), sans autre contrainte particuliere. 

20 Beuxiferae factteer premier p 2 comgre a 3 (mod 4) avec prise en compte 

du premier nombre de base g x : Chaque candidat doit etre complementaire 
de p x par rapport a g x . 

Troisieme facteer premier p 3 congru k 3 (mod 4) avec prise en compte 
du deuxieme nombre de base g 2 : Selon le profil de g 2 par rapport aux deux 
25 premiers facteurs premiers p x et /? 2 , deux cas se presentent. Lorsque 

Profil 2 (g 2 ) est plat, chaque candidat doit etre complementaire de p x par 
rapport a g 2 . Sinon, on a Profil 2 (g!) = Profil 2 (g 2 ) ; chaque candidat doit alors 
assurer que Profi^C^) ^ Profil 3 (g 2 ). 

Choix dm i ieme facteur premier p i+1 congru a 3 (mod 4) avec prise en 
30 compte du nombre de base g { : Selon le profil de par rapport aux / 
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premiers facteurs premiers p l9 p 2 , ... p i9 deux cas se presentent. Lorsque 
Profiles,) est plat, chaque candidat doit etre complementaire de p x par 
rapport a g t . Sinon, parmi les i-l nombres de base g {9 g 2 , ... g ( _ x et toutes 
leurs combinaisons multiplicatives,g,.g 2 , ... , g x .g 2 . ... g M , soit en tout 2 ,_1 -1 
nombres entiers, il existe un nombre entier g et un seul tel que Profiles,) = 
Profiles) ; chaque candidat doit alors assurer que Profile, (&) * Profil l+1 (g). 
Dernier factemir premier p f ^ conagru a 3 (mod 4) avec prise en compte 
du nombre de base g^^ et des autres nombres de base de g f _ e a g m : On 
prend en compte les contraintes dues au nombre de base g f _^ x , tout comme 
ci-dessus. En outre, lorsque m est egal ou superieur af-e, chaque candidat 
doit assurer un profil non plat aux derniers nombres de base, de g f _ e a g m , 
par rapport aux f-e facteurs premiers. Chaque candidat doit etre 
complementaire de p x par rapport a tous les g t pour lesquels Profil^C^) est 
plat. 

Em reseme, les facteers premiers congrias k 3 (mod 4) sont choisis les 
rans en faraction des aetres. 

Pour / allant de 0 hf-e-l , pour choisir le i+l ieme facteur premier congru a 
3 (mod 4), le candidat p M doit passer avec succes Texamen suivant : 
S Si i > m ou si i = 0, alors le candidat p M n'a pas d'autre contrainte ; il 
est done accepte. 

S Si 0 < i : <; m, alors le candidat p M doit prendre en compte le / ieme 
nombre de base g f . On calcule le profil Profil f (&) du nombre de base g t 
par rapport aux i premiers facteurs premiers, de p x a Selon le resultat, 
un et un seul des deux cas suivants se presente : 

Si le profil est plat, alors le candidat p M doit etre complementaire de 

p x par rapport a g i ; sinon, il faut le rejeter. 

Sinon, parmi les i-l nombres de base et toutes leurs combinaisons 
multiplicatives, il y a un et un seul nombre que nous nommons g tel 
que Profil^) = Profil^g;) ; alors le candidat p M doit etre tel que 
Profil i+1 (g) * Profil /+1 (g / ) ; sinon, il faut le rejeter. 
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^ Si i+l = /-£ et i < m, c'est-a-dire, pour choisir le dernier facteur premier 
congru a 3 (mod 4) lorsqu'il reste des nombres de base, de g f ^ a g m> qui 
n'ont pas encore ete pris en compte, le candidat p f „ e doit les prendre en 
compte : parmi ces derniers nombres de base, on selectionne ceux dont 
le profil Profil^^) est plat ; le candidat p f _ e doit etre complementaire 
de p x par rapport a chacun des nombres de base ainsi selectionnes ; 
sinon, il faut le rejeter. 

Le candidat est accepte lorsqu'il a passe avec succes les tests appropries. 

Choax de e facteers premiers comgras a 1 (mod 4) 

Pour etre acceptable, chaque candidat p congru a 1 (mod 4) doit remplir les 
conditions suivantes par rapport a chaque nombre de base de g x a g m . 

Evaluons le symbole de Legendre de chaque nombre de base g ( par 
rapport hp. Si le symbole vaut -1, rejetons le candidat p pour passer a 
un autre candidat. Si le symbole vaut +1 , poursuivons revaluation du 
candidat. Notons que si le nombre entier 2 est utilise comme nombre de 
base, alors tous les candidats congrus a 5 (mod 8) doivent etre ecartes : 
le nombre de base 2 est incompatible avec un facteur congru a 5 
(mod 8). 

Calculons un nombre entier s = (p-l+l*)/!** 1 pour etablir une cle (s 9 p). 

Appliquons la cle (s,p) a chaque valeur publique G i pour obtenir un 

resultat r. Deux cas se presentent. 

Si r vaut ou -g i9 alors w = 0. Dans ce cas et dans ce cas 
seulement, G f est sur un cycle. Remarquons un cas trivial : G, est 
sur un cycle des lors que p est congru a 5 (mod 8) et que le 
symbole de Legendre de g i par rapport a p vaut +1. Rappelons que 
Gi = 4 est impossible dans ce cas. 

Si r ne vaut ni g t ni -g i9 alors w > 0 ; notons que la cle <(p-l)/2', p) 
transforme tout residu non quadratique y en un element b qui est 
une racine 2 r ieme primitive de 1' unite. L'algorithme suivant calcule 
u a partir de r et b en utilisant deux variables entieres : w initialisee 
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par r et jj prenant des valeurs de 2 a 2'~ 2 . 
Pour / allant de 1 a f-2, repeter la sequence suivante : 

- Calculer WVG, (mod p), puis, elever le resultat a la puissance 2'" 1 " 1 
(mod pp : on doit obtenir +1 ou -1 . Lorsque Ton obtient -1 , calculer jj = 2\ 
puis, remplacer w par (mod pj). Lorsque Ton obtient +1 , ne rien faire. 
A Tissue du calcul, la variable w a pour valeur g f ou De plus, nous 
savons que le rang de G, dans CG{pj) est divisible par 27// mais pas par 
2 t+l /jj, c'est-a-dire que jj determine la valeur de u par jj = 2' ~ M . Lorsque v 
est plus grand que jj\ c'est-a-dire, k > t-u, rejeter le candidat pour passer a 
un autre. Lorsque v est plus petit ou egal a jj, c'est-a-dire, k <s f-w, 
poursuivre 1'evaluation du candidat. 

Lorsque les/facteurs premiers ont ete produits, le module public n est le 
produit des/facteurs premiers p l9 p 2 > Pf L'entier non signe n peut se 
representer par une sequence binaire ; cette sequence respecte les 
contraintes imposees au debut du programme pour la taille en bits et pour 
le nombre de bits successifs a 1 en poids forts. Le choix des facteurs 
premiers assure les proprietes suivantes du module n par rapport a chacun 
des m nombres de base g x , g 2 , ... g m . D'une part, les equations (1) et (2) 
n'ont pas de solution en x dans l'anneau des entiers modulo n. D'autre 
part, Tequation (3) a des solutions en x dans l'anneau des entiers modulo 
n. 

Em resuiunae 9 les ffactews premiers coKngras a 1 (mod 4) soot choisis 
indepesndammeM les mis des auatres. Alors que les facteurs congrus a 3 
(mod 4) prennent en compte progressivement les nombres de base, chaque 
facteur premier congru a 1 (mod 4) doit prendre en compte Tensemble des 
contraintes imposees par chacun des nombres de base. Chaque facteur 
premier congru a 1 (mod 4), soit /?, de p H a p p doit avoir passe avec succes 
Texamen suivant en deux etapes. 

1) L'etape (1) s'execnite sunccessivemeiit pouir chacuimi des m mombres 
de base de g x a g m ~ 
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On calcule le symbole de Legendre du nombre de base courant g par 
rapport au candidat p. Un et un seul des deux cas suivants se presente : Si 
le symbole vaut -1, on rejette le candidat. Sinon (le symbole vaut +1), on 
poursuit Fexamen en passant au nombre de base g suivant a Fetape (1). 
Lorsque le candidat est acceptable pour Fensemble des m nombres de base, 
on passe a Fetape (2). 

2) L'etape (2) s'execmte soccessiveirneiiitt poer chacumte des m valeurs 

puifoMqoes de G t a G m » 
On calcule un entier t tel que p-l est divisible par 2' mais pas par 2' +1 , puis, 
un entier s = (p-l+2 f )/2 /+I , de fa?on a etablir une cle (s,p). On applique la 
cle (s,p) a la valeur publique courante G = g 2 pour obtenir un resultat r, 
soit : r - & ( m °d P) . Selon le resultat, un et un seul des deux cas 
suivants se presente : 

a) Si r est egal a g ou a -g, alors u = 0 ; on poursuit Texamen du 
candidat en passant a la valeur publique G suivante a Fetape (2). 

b) Sinon, on calcule un nombre u positif, prenant une des valeurs de 1 a 
f-2, en appliquant Falgorithme suivant qui met en oeuvre deux 
variables : jj prenant des valeurs allant de 2 a 2 r " 2 et w initialisee par r, 
ainsi qu'un nombre entier b obtenu en appliquant une cle <(p-l)/2',/?) 
a un residu non quadratique de CG(p). 

Pour un indice ii allant de 1 a t-2, on repete Foperation suivante : 
On calcule vv^/G (mod p), puis, on applique une cle (2 r ""~ 1 ,/?) au 
resultat pour obtenir +1 ou -1 (sinon, on a une preuve que le 
candidat n'est pas premier). Si Fon obtient -1 , alors on calcule jj 
= 2", puis, c = & (mod /?), puis, on remplace w par w.c (mod p) , 
puis, on passe a F indice ii suivant. Si Fon obtient +1, on passe a 
Findice ii suivant. 
A Fissue de Falgorithme, la valeur figurant dans la variable jj definit u 
par la relation jj = 2'~ u ; la valeur figurant dans la variable w est une 
racine carree de G, c'est-a-dire, g ou -g (sinon, on a une preuve que le 
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candidat n'est pas premier). Deux cas se presenters : 

□ Si t-u < K alors on rejette le candidat p parce que la branche ou 
figure G n'est pas assez longue. 

□ Sinon {t-u s on poursuit revaluation du candidat en passant a 
la valeur publique G suivante a Fetape (2). 

Lorsque le candidat est acceptable pour Fensemble des m valeurs 
publiques, il est accepte comme facteur premier congru a 1 (mod 4). 
Calcol des valeuirs associees 

Pour obtenir les composantes privees, calculons toutes les solutions a 
Fequation (3 .a) dans les deux cas les plus simples et les plus courants avant 
d'aborder le cas general. 

Pour chaque facteer premier pj congro a 3 (mod 4), la cle ((p;+l)/4, Pj) 
donne laracine carree quadratique de n'importe quel residu quadratique. 
On en deduit une maniere de calculer une solution a Fequation (3 .a) : 

sj ■ ((Pj+1) I 4)* (mod (p r l)/2) ; puis, Q u m Gf J (mod Pj ) 
ou bien plutot, Finverse (mod pj) d'une telle solution. 

Sj = (p-l)/2-((p,+l) / 4? (mod (p r l)/2) ; puis, Q u = G? (mod p.) 
Dans CG(pj), il y a alors deux et seulement deux racines carrees de F unite : 
+1 et -1 ; il y a done deux solutions en x a Fequation (3.a) : les deux 
nombres Q tJ et p-Qij ont le meme carre G- (mod pj). 

Ponir dhaqoe faclteer premier pj coimgra a S (mod 8), la cle ((py+3)/8, p^ 
donne la racine carree de rang impair de n'importe quel element de rang 
impair. On en deduit une solution a Fequation (3 .a) : 

Sj s ((P/+3) / 8 >* ( mod <Pr W) ; P uis ' s G ? (mod Pj> 

ou bien plutot, Finverse (mod pj) d'une telle solution. 

sj = (p r i)/4-((pj+3) I Sf (mod <p r l)/4) ; puis, Q id = Gf> (mod pj) 
Dans CG(p,), il y a alors quatre et seulement quatre racines quatriemes de 
Funit6 ; il y a done quatre solutions en x a Fequation (3 .a). Remarquons 
que 2 (p - hm (mod pj) est une racine carree de -1 parce que le symbole de 
Legendre de 2 par rapport a p congru a 5 (mod 8) vaut -1 . Si Q u est une 



FEUOLLE DE REftflPLACEMENT (REGLE 26) 



WO 00/46947 



30 



PCT/FR00/00189 



solution, alors Pj-Qij est une autre solution, ainsi que le produit (mod pj) de 
Qtj par une racine carree de -1 . 

Pomr mil ffactteer premier pj coHgmui a 2'+l (mod 2' +1 ), la cle ((p/~ l+2')/2' +1 , 
pj) donne la racine carree de rang impair de n'importe quel element de rang 
impair. On peut done calculer une solution a F equation (3 .a). 

- Calculons d'abord un nombre entier Sj « ((p r l+2 f )/2 r+l ) /: (mod (p r l)/2 t ) 
pour etablir une cle (s Jy pj). 

- Lorsque la cle ((p-l +2')/2' +1 , pj) transforme G, en g t ou en - g i9 le rang de 
G, est impair dans CG(pJ) (w = 0). Alors, la cle (sj 9 p) transforme G ; en un 
nombre z: e'est la solution de rang impair a Fequation (3.a). Selon les 
valeurs de t et de k, il y a encore min(2*-l , 2-1) autres solutions sur une 
ou plusieurs branches. La branche de z 2 porte une autre solution : e'est 
PpZ. Lorsque t s: 2, la branche de z 4 porte deux autres solutions : e'est le 
produit de z par chacune des deux racines carrees de -1, e'est-a-dire, 
chacune des deux racines quatriemes primitives de T unite. Or, si y est un 
residu non quadratique de CG(p ; ), alors, y^~ m (mod pj) est une racine 
carree de -1 . D'une maniere generale, pour / prenant chaque valeur de 1 
a min(k y t), la branche de la puissance 2' ieme de z porte 2'" 1 solutions : ce 
sont les produits (mod pj) de z par chacune des 2'" 1 racines 2 l iemes 
primitives de Tunite. Or, si y est un residu non quadratique de CG(pj), 
alors, y a la puissance (pj-iy? est une racine T ieme primitive de F unite 
que nous nommons c. Les 2'" 1 racines 2 1 iemes primitives de Tunite sont 
les puissances impaires de c: c, c 3 (mod pj), c 5 (mod p,), ... c a la 
puissance 2-1 (mod pj). 

- Lorsque la cle <(p / -l+2 f )/2 /+I ,/7 / > transforme G t en un nombre entier r qui 
n'est ni g t ni le rang de G, est pair dans CG(pj) (w > 0). Alors, a 
condition que G f soit convenablement place sur une branche assez 
longue, e'est-a-dire, *;>£ + w,ilya2* solutions sur la branche ou figure 
C 4 .. Pour calculer une racine 2* ieme, il suffit de reiterer k fois de rang 
Falgorithme de calcul de racine carree donne ci-dessus, de fa?on a 
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calculer les racines carrees des resultats successifs jusqu'a une solution 
z* Ce calcul peut bien sur etre optimise pour approcher directement une 
racine 2* ieme et ajuster ensuite une seule fois F approximation d'une 
racine 2* ieme pour atteindre une solution z. Pour obtenir toutes les 
autres solutions, remarquons tout d'abord que si y est un residu non 
quadratique de CG(p,), alors,y a la puissance (p r \)l2 k est une racine 2 k 
ieme primitive de 1* unite que nous nommons d. Les 2* racines 2 k iemes 
de 1' unite sont les puissances successives de d : d, d 2 (mod pj) 9 d 3 (mod 
pj) 9 ... d a la puissance 2*-l (mod p) 9 d a la puissance 2 k (mod pj) qui 
vaut 1. Les 2 k solutions sur la branche ou figure G, sont les produits 
(mod p) de z par chacune de ces racines. 
En resuarae 9 poer calender ime commposarate poor le ffacteur premier p et 
le mombre de base g 9 coimaaissairat k y t et m 9 on procedle comme seitt : 

1) On calcule un nombre entier : s ■ ((p-l+2y2 t+l ) k (mod (p~l)/20 pour 
etablir une cle (s,p). Puis, on applique la cle (s 9 p) a G pour obtenir 
z = G s (mod />). Selon la valeur de u 9 on passe a Fetape (2) ou (3). 

2) Si u = 0, z est la solution de rang impair a r equation (3.a). H y a encore 
min(2*-l, 2-1) autres solutions de rang pair sur une ou plusieurs 
branches, tres exactement sur min(&, 0 autres branches. Pour / allant de 
1 a min(fc, f) 9 la branche de la puissance 2 f ieme de z porte 2 1 " 1 solutions : 
ce sont les produits (mod p) de z par chacune des 2 M racines 2 1 iemes 
primitives de Funite. La solution generique a F equation (3 .a) est 
representee par zz. On passe a Fetape (4). 

3) Si u > 0, toutes les solutions a F Equation (3 .a) sont de rang pair. II y en 
a 2 k et elles figurent toutes sur la branche ou figure G ; en effet : t-u > 
k. Pour calculer une solution, Falgorithme suivant met en ceuvre deux 

jvariables : jj prenant des valeurs allant de 2 a 2'~ 2 et w initialisee par z, 
ainsi qu'un nombre entier b obtenu en appliquant une cle ((>-l)/2',/>) 
a unTesidu non quadratique de CG(p). 

On repete k fois de rang la sequence suivante : 
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Pour un indice ii allant de 1 a /-2, on repete F operation suivante : 
On calcule w*/G (mod p) 9 puis, on applique une cle (2^ M ,p) au 
resultat pour obtenir +1 ou -1 (sinon, on a une preuve que p n'est 
pas premier). Si Ton obtient -1 , alors on calcule jj = 2", puis, c a ti } 
(mod p), puis, on remplace w par w.c (mod p) , puis, on passe a 
Tindice ii suivant. Si Ton obtient +1 , on passe a Findice ii suivant. 
A Tissue de Falgorithme, la variable w a pour valeur za. Les 2* 
solutions sur la branche ou figure G sont les produits (mod p) de za par 
chacune des 2* racines 2* iemes de F unite. La solution generique a 
Fequation (3 .a) est representee par zz. On passe a Fetape (4). 
4) Connaissant zz, on en deduit une valeur de composante : c'est 
Finverse de zz modulo p lorsque Fequation G.Q V = 1 (mod n) est 
utilisee et zz lorsque Fequation G = Q V (mod ri) est utilisee. 
Remarqeeo fly a diverses methodes pour obtenir les composantes privees 
etles valeurs privees. Connaissant une collection de /composantes, c'est- 
a-dire, les / composante pour un nombre de base donne, la technique des 
restes chinois permet de calculer la valeur privee correspondante. On voit 
ainsi que, pour une valeur publique G et un module n donnes, il peut y 
avoir plusieurs valeurs privees Q possibles. II y en a quatre lorsque n est le 
produit de deux facteurs premiers congrus a 3 (mod 4) ; il y en a huit avec 
trois facteurs premiers congrus a 3 (mod 4) ; il y en a seize avec deux 
facteurs premiers congrus a 3 (mod 4) et un congru a 5 (mod 8). Un usage 
judicieux de ces multiples valeurs peut compliquer les attaques par analyse 
de la consommation electrique d'une carte a puce utilisant GQ2. 
Ainsi, au fur et a mesure que t augmente, le programme se complique pour 
des cas de plus en plus rares. En effet, les nombres premiers se repartissent 
en moyenne comme suit : t = 1 pour un sur deux, t - 2 pour un sur quatre, 
t = 3 pour un sur huit, et ainsi de suite. De plus, les contraintes dues aux m 
nombres de base rendent les candidatures de moins en moins acceptables. 
Quoi qu'il en soit, les modules mixtes font definitivement partie de la 
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technologie GQ2 ; le type du module GQ2 n'affecte en rien les protocoles 
d'authentification dynamique et de signature numerique . 
La figure 3 illustre G, = g 2 sur un cycle avec un facteur premier p congru a 
9 (mod 16), c'est-a-dire, t = 3, u = 0, ainsi que fes3,On peut noter que : 

b s y 8 (mod p) 
b* - 1 (mod p) 

b 4 s -1 (mod p) 

La figure 4 illustre G t = g? sur une branche avec un facteur premier p congru 

a 65 (mod 128), c'est-a-dire, t = 6, ainsi que k = 4 et u = 2. 

Voici un premier jeu de cles GQ2 avec k = 6, soit v = 64, m = 3, soit trois 

nombres de base : g l = 3, g 2 = 5 et g 3 = 7, et / = 3, soit un module a trois 

facteurs premiers : deux congrus a 3 (mod 4) et un a 5 (mod 8). Notons que 

g = 2 est incompatible avec un facteur premier congru a 5 (mod 8). 

p x = 03CD2F4F21E0EAD60266D5CFCEBB6954683493E2E833 

(2 | Pi ) = -1 ; (3 | Pl ) = +1 ; (5 | Pl ) = -1 ; (7 | /?,) = +1 

p 2 = 0583B097E8D8D777BAB3874F2E76659BB614F985EC1B 

(2\ Pl ) = -l ; (3 | Pl ) = -1 ; (5 | Px ) = +1 ; (7 | Pl ) = -1 

p 3 = 0C363CD93D6B3FEC78EE13D7BE9D84354B8FDD6DA1FD 

(2 | Pl ) = -1 ; (3 | p x ) = +1 ; (5 | p.) = +1 ; (7 | p x ) = +1 

n= Pi .p 2 .p 3 = FFFF81CEA149DCF2F72EB449C5724742FE2A3630D9 

02CC00EAFEE1B957F3BDC49BE9CBD4D94467B72AF28CFBB26144 

CDF4BBDBA3C97578E29CC9BBEE8FB6DDDD 

Q ul = 0279C60D216696CD6F7526E23512DAE090CFF879FDDE 

Q 2A = 7C977FC38F8413A284E9CE4EDEF4AEF35BF7793B89 

Q xl = 6FB3B9C05A03D7CADA9A3425571EF5ECC54D7A7B6F 

Q X2 = 0388EC6AA1E87613D832E2B80E5AE8C1DF2E74BFF502 

Q 22 = 04792CE70284D16E9A158C688A7B3FEAF9C40056469E 

Q 3 = FDC4A8E53E185A4BA793E93BEE5C636DA731BDCA4E 

e i3 = 07BC 1 AB048 A2EAFDAB59BD40CCF2F657 AD8 A6B573BDE 

Q 2t3 = 0AE8551E116A3AC089566DFDB3AE003CF174FC4E4877 
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£ 33 = 01682D490041913A4EA5B80D16B685E4A6DD88070501 

Q, = D7E1CAF28192CED6549FF457708D50A7481572DD5F2C335D8 

C69E2252 1 B5 1 0B64454FB7 A 1 9AEC8D06985558E764C699 1 B05FC2 A 

C74D9743435AB4D7CF0FF6557 

Q 2 = CB1ED6B1DD649B89B9638DC33876C98AC7AF689E9D1359E4 
DB17563B9B3DC582D5271949F3DBA5A70C108F561A274405A5CB8 
82288273 ADE67353A5BC3 1 6C093 

Q 3 = 09AA6F4930E51A70CCDFA77442B10770DD1CD77490E3398A 

AD9DC50249C343 1 29 1 5E559 1 7 A 1 ED4D83 A A3D607E3EB5C8B 1 97 
697238537FE7A01 95C5E8373EB74D 

Voici d'autres valeurs possibles pour les composantes liees au facteur p 3 lequel est 
congru a 5 (mod 8). 

Voici une racine carree de -1 dans CG(/? 3 ) : c = 2 (p3 " ,)/4 (mod/> 3 ) = 
OC3000933A854E4CB309213F12CAD59FA7AD775AAC37 

2'i3 = c Gi3 (modp 3 ) = 

050616671372B87DEC9AEEAC68A3948E9562F714D76C 
Q'z.3 = c G23 (mod p 3 ) = 

06F3O8B529C9CE88D037DO1O02E7C838439DACC9F8AA 
fi' 33 = c G33 (modp3> = 

015BE9F4B92F1950A69766069F788E45439497463D58 
Ce qui donne : 

Q\ = 676DF1BA369FF306F4A1001602BCE5A008DB82882E87C148DO 
D820A7 1 1 121 961C9376CB45C355945C5F2A9E5AFAAD7861 886284A 
9B319F9E466521 1252D74580 

Q\ = CAEC4F41752A228CF9B23B16B3921E47C059B9E0C68634C2C 
64D6003156F30EF1BC02ADA25581C8FDE76AA14AB5CC60A2DE1C 
565560B27E8AA0E6F4BCA7FE966 

Q' 3 = 2ACDF5161FE53B68CC7C18B6AFE495815B46599F44C51A6A1 
A4E858B470E8E5C7D2200EF 1 35239 AF0B7230388A6A5BDD8EE1 5B 
0D094FC2BFA890BFDA669D9735 
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Voici un second jeu de cles GQ2, avec k = 9, soit v = 512, m = 2, soit deux 
nombres de base : g, = 2 et g 2 = 3, et / = 3, soit un module a trois facteurs 
premiers congrus a 3 (mod 4). 

p l = 03852 103E40CD4F06FA7BAA9CC8D5BCE96E3984570CB 

(2 | /?,) = -1 ; (3 | p t ) = -1 ; et on trouve bien, (6 | /?,) = +1. 

p 2 = 062AC9EC42AA3E688DC2BC871C8315CB939089B61DD7 

(2 | p 2 ) = +1 ; (3 | p 2 ) = -1 ; et on trouve bien, (6 | p 2 ) = -1 . 

p 3 = 0BCADEC219F1DFBB8AB5FE808A0FFCB53458284ED8E3 

(2 | p 3 ) = -1 ; (3 | p 3 ) = +1 ; et on trouve bien, (6 | p 3 ) = -1 . 

n=p,.p 2 .p 3 = FFFF54O1ECD9E537F167A80C0A911 1986F7A8EBA4D 

6698 AD68FF670DE5D9D77DFF007 1 6DC7539F7CBBCF969E73 A0C49 

76 1B276A8E6B6977A2 1D5 1 669D039F1D7 

2, , = 0260BC7243C22450D566B5C6EF74AA29F2B927AF68E1 

Q 2 , = 0326C12FC7991ECDC9BB8D7C1C4501BE1BAE9485300E 

Q xz = 02D0B4CC95A2DD435D0E22BFBB29C59418306F6CD00A 

Q 2 z = 045ECB881387582E7C556887784D2671CA1 18E22FCF2 

Q l3 = B0C2B1F808D24F6376E3A534EB555EF54E6AEF5982 

Q 2<3 = 0AB9F81DF462F58A52D937E6D81F48FFA4A87A9935AB 

Q, = 27F7B9FC82C19ACAE47F3FE9560C3536A7E90F8C3C51E13C 

35F32FD8C6823DF753685DD63555D2146FCDB9B28DA367327DD6 

EDDA092D0CF108D0AB708405DA46 

Q 2 = 230DOB9595E5AD388F1F447A69918905EBFB05910582E5BA64 
9C94B0B266 1 E49DF3 C9B42FEF1 F37 A7 909B 1 C2DD54 1 1 3 ACF87C6 
Fl 1F19874DE7DC5D1DF2A9252D 

Dans la presente demande, on a decrit un procede pour produire des jeux 
de cles GQ2, a savoir, des modules n et des couples de valeurs publique G 
et privee Q dans le cas ou Texposant v est egal a 2 k . Ces jeux de cles sont 
utilises pour mettre en ceuvre un procede destine a prouver Tauthenticite 
d'une entite et/ou l'integrite et/ou l'authenticite d'un message ainsi que 
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cela a ete decrit. 

Dans les demandes pendantes deposees le meme jour que la presente demande par 
France Telecom, TDF et la Societe Math RiZK et ayant pour inventeurs Louis 
Guillou et Jean-Jacques Quisquater, les traits caracteristiques des procedes, 
5 systemes et dispositifs destines a prouver Tauthenticite d'une entite et/ou Tintegrite 

et/ou Tauthenticite d'un message ont ete revendiques. Ces deux demandes sont 
incorporees ici par reference. 
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Revendlcattioms 

1. Dans un procede destine a prouver a une entite controleur, 

- P authenticity d'une entite et/ou 

- l'integrite d'un message M associe a cette entite, 

au moyen de tout ou partie des parametres suivants ou derives de ceux-ci: 

- un module public n constitue par le produit de f facteurs premiers p 1? 
p 2 , ... p f (f etant superieur ou egal a 2), 

- un exposant public v ; 

- m nombres de base g 19 g 2 > — g m entiers, distincts, (m etant superieur 
ou egal a 1), les nombres de base g; etant tel que : 

les deux equations (1) et (2) : 

x 2 s g. mod n et x 2 == - g. mod n 
n'ont pas de solution en x dans l'anneau des entiers modulo n, 
et tel que : 
r equation (3): 

x v = g 2 mod n 

a des solutions en x dans l'anneau des entiers modulo n ; 
le procede selon T invention permettant de produire les f facteurs premiers 
p l 9 p v ... p f . de telle sorte que les equations (1), (2) et (3) soient satisfaites ; 
ledit procede comprenant Tetape de choisir en premier : 

° les m nombres de base g l 9 g l 9 . . . g m , 

*> la taille du module n 9 

o la taille des f facteurs premiers p lf , p 2> , . . . p f . 

2. Procede selon la revendication 1 tel que, dans le cas ou Texposant 
public v est de la forme : 

v = 2 k 

ou k est un parametre de securite plus grand que 1 , on choisit egalement en 
premier le parametre de securite k. 

3. Procede selon Tune quelconque des revendications 1 ou 2 tel que 
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les mi nombres de base g t , g v ... g m , sont choisis au moins en partie parmi 
les premiers nombres entiers. 

4o Procede selon Tune quelconque des revendications 2 ou 3, tel que 
le parametre de securite k est un petit nombre entier, notamment inferieur a 
5 100. 

So Procede selon Tune quelconque des revendications 1 a 4, tel que la 
taille du module n est superieure a plusieurs centaines de bits . 

6. Procede selon Tune quelconque des revendications 1 a 5, tel que 
les f facteurs premiers p lt , p 2j , ... p f ont une taille voisine de la taille du 
10 module in divise par le nombre f de facteurs. 

7o Procede selon Tune quelconque des revendications 1 a 6, tel que 
parmi les f facteurs premiers p lf , p v . . . p f 

- on choisit un nombre e de facteurs premiers congrus a 1 modulo 4, e 
pouvant etre nul (dans le cas ou e est nul le module n sera ci-apres qualifie 

15 de module basique, dans le cas ou e > 0 le module m sera ci-apres qualifie de 

module mixte), 

- les f-e autres facteurs premiers sont choisis congrus a 3 modulo 4, ff= 
e etant au moins egal a 2. 

8, Procede selon la revendication 7 tel que pour produire les f-e 
20 facteurs premiers p 1? , p v * * * Pf-e congrus a 3 modulo 4, 

on met en oeuvre les etapes suivantes : 

- on choisit le premier facteur premier pj congru a 3 modulo 4, 

- on choisit le deuxieme facteur premier p 2 tel que p 2 soit 
complementaire de p t par rapport au nombre de base g x , 

25 - on choisit le facteur p i+1 en procedant comme suit en distinguant 

deux cas : 

(1) Cas ou i>m 

° on choisit le facteur p i+1 congru a 3 modulo 4, 

(2) Cas ou i^ m 

30 ° on calcule le profil (Profil|(gi)) de g; par rapport aux i 
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premiers facteurs premiers p is 

o si le ProfiljCgi) est plat, on choisit le facteur p i+1 tel que p i+1 soit 
complementaire de p x par rapport a g i5 

° sinon, on choisit parmi les i-1 nombres de bases g 19 g 29 o,, g lml et 
toutes leurs combinaisons multiplicatives le nombre, ci-apres denomme g, 
tel que Profiling) = Profilj(gj), on choisit ensuite p i+1 tel que Profil j+1 (gj) * 
Profiling), * 

(les expressions "complementaire", "profll", "profil plat" ayant le sens 
defini dans la description). 

9o Precede selon la revendication 8 tel que pour choisir le dernier 
facteur premier p f . e on precede comme suit, en distinguant trois cas : 

(1) Cas ouf-e-1 >m 

o on choisit p f . e congru a 3 modulo 4, 

(2) Cas ou f-e-1 =m 

o on calcule Profil f . e . 1 (g m ) par rapport aux f-e-1 premiers 
facteurs premiers, de p x a p f . e . 1( 

oo si Profil f . e . 1 (g m ) est plat, on choisit p M tel qu'il soit 
complementaire de p l par rapport a g m , 
° ° sinon, 

<=> o o on choisit parmi les m-1 nombres de bases de g t a 
gm-i et toutes leurs combinaisons multiplicatives le nombre, ci-apres 
denomme g, tel que Profiling) = Profil,(g,), puis 

o ° ° on choisit ensuite p f . e tel que Pro01 f . e (g) * 

Proffl f _ e (gJ, 

(3) Cas ouf-e-1 <m 

° on choisit p f . e tel que les deux conditions suivantes soient 

satisfaites : 

(3.1) Premiere condition, 

o on calcule Profil f . e . 1 (g f . e . 1 ) par rapport aux f-e-1 premiers 
facteurs premiers, de p x a p f-e _i t 
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• • si ProfiI f . e _ 1 (g f . e _ 1 ) est plat, on choisit p f . e tel qu'il 
satisfasse a la premiere condition d'etre complementaire de p x par rapport a 

• • sinon, 

• • • on choisit parmi les f-e-1 nombres de bases de g t 
a g^ et toutes leurs combinaisons multiplicatives le nombre, ci-apres 
denomme g, tel que Profilj(g) = Profil f . e . 1 (g f . e . 1 ), puis 

• • • on choisit ensuite p f ^ tel qu'il satisfasse a la 
premiere condition d'etre tel que Profil f ^(g) * Profil f . e (g m ) , 

(3.2) Deuxieme condition, 

• on selectionne parmi Fensemble des derniers nombres de bases 
de g f . e a g m ceux dont le profil Profil f . e . 1 (g i ) est plat, puis 

• on choisit p f . e tel qu'il satisfasse a la deuxieme condition d'etre 
complementaire de p t par rapport a chacun des nombres de bases ainsi 
selectionnes. 

10. Procede selon les revendications 8 ou 9 tel que pour produire les e 
facteurs premiers congrus a 1 modulo 4, on evalue chaque candidat facteur 
premier p , de p f . e a p f , en lui faisant subir les deux tests successif s suivants 

(1) Premier test 

- on calcule le symbole de Legendre de chaque nombre de base g; f de 
gi Sm 9 rapport au facteur premier p candidat, 

• si le symbole de Legendre est egal a -1 , on rejette le candidat p, 

• si le symbole de Legendre est egal a +1, on poursuit 
1'evaluation du candidat p en passant au nombre de base suivant, puis 
lorsque le dernier nombre de base a ete pris en compte on passe au 
deuxieme test, 

(2) Deuxieme test, 

- on calcule un nombre entier t tel que p-1 est divisible par 2 l mais pas 
par 2 t+1 , puis 
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- on calcule un entier s tel que s = (p-l+l 1 )/! 1 * 1 , 

- on applique la cle (s ? p) a chaque valeur publique Gjpour obtenir un 
resultat r 

r = Gj s mod p 

° si r est egal a g s ou - g ; , on poursuit le deuxieme test en 
passant a la valeur publique G i+1 suivante, 

o sir est different de g; ou - g { , on caicule un facteur u en 
appliquant Talgorithme suivant : 

° o Talgorithme consiste a repeter la sequence suivante pour un 
indice ii allant de 1 a t-2 : 

o ° Talgorithme met en oeuvre deux variables : w initialisee par r 
et jj = 2" prenant des valeurs allant de 2 a 2 t 2 , ainsi qu ? un nombre b 
obtenu par l'application de la cle <(p=l)/2S p> a un residu non quadratique 
de CG(p), puis, on itere les etapes 1 et 2 suivantes, 

o ° ° etape 1 : on calcule w 2 /Gi (mod p), 

o o ° etape 2 : on eleve le resultat a la puissance T' n ' x 

o o o o s i on obtient +1 , on poursuit le deuxieme test 
en passant a la valeur publique G i+1 suivante, 

oooo s i on obtient -1, on calcule jj = 2" , puis on 
remplace w par w.b" (mod p), puis on poursuit Talgorithme pour la valeur 
suivante de T indice ii, 

o o a Tissue de Talgorithme, la valeur figurant dans la variable jj 
permet de calculer un nombre entier u par la relation jj= 2 t u , puis on 
calcule T expression t-u, deux cas se presentent : 

o o o s i t-u < k , on rejette le candidat p 
o o o s j t-u s k, on continue revaluation du candidat p en 
poursuivant le deuxieme test en passant a la valeur publique G i+1 suivante, 
le candidat p est accepte comme facteur premier congru a 1 modulo 4 si a 
Tissue du deuxieme test, pour toutes les im valeurs publiques G { , il n'a pas 
6terejete. 
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11. Procede faisant application du procede, selon Tune quelconque 
des revendications 1 a 10, permettant de produire f facteurs premiers p lf , ^ 
. . . p f , ledit procede etant destine a prouver a une entite controleur, 

- I 5 authenticity d'une entite et/ou 

- Fintegrite d'un message M associe a cette entite, 

au moyen de tout ou partie des parametres suivants ou derives de ceux-ci: 

-m couples de valeurs privees Q l9 Q 29 ... Q m et publiques G l9 G 29 ... 
G m (m etant superieur ou egal a 1), 

- le module public mi constitue par le produit des f facteurs premiers p 15 
p 2? Pf OF etant superieur ou egal a 2), 

- F exposant public v ; 

ledit module, ledit exposant et lesdites valeurs etant lies par des relations du 
type : 

G s * Qj v = 1 o mod n ou Gj = Qj v mod n ; 
ledit exposant v etant tel que 

v = 2 k 

oii k est un parametre de securite plus grand que 1 ; 

ladite valeur publique G { etant le carre g; 2 du nombre de base g; inferieur 
aux f facteurs premiers p 19 p 29 ... p f ; le nombre de base g { etant tel que : 

les deux equations : 

x 2 = gj mod n et x 2 & - gj mod b 
n'ont pas de solution en x dans Fanneau des entiers modulo n 
et tel que : 

F equation : 

x v s g. 2 mod n 

a des solutions en x dans Fanneau des entiers modulo n 
ledit procede met en oeuvre selon les etapes suivantes une entite appelee 
temoin disposant des f facteurs premiers p ; et/ou des parametres des restes 
chinois des facteurs premiers et/ou du module public mi et/ou des m valeurs 
privees Q, et/ou des f m composantes Q, f j (Q i( j s Q. mod p } ) des valeurs 
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privees Qjet de l'exposant public v ; 

- le temoin calcule des engagements R dans l'anneau des entiers 
modulo n ; chaque engagement etant calcule : 

° soit en effectuant des operations du type 

R = r v modi ei 
ou r est un alea tel que 0 < r< n, 
° soit 

00 en effectuant des operations du type 

Rjsr^modlpi 

oii IT; est un alea associe au nombre premier P; tel que 0 < r { < p s , chaque r { 
appartenant a une collection d'aleas {r t 

00 puis en appliquant la methode des restes chinois ; 

- le temoin re?oit un ou plusieurs defis d ; chaque defi d comportant m 
entiers dj ci-apres appeles defis elementaires ; le temoin calcule a partir de 
chaque defi d une reponse D, 

0 soit en effectuant des operations du type : 

B h r . Qt dl . Q 2 ^ ... Q m dm mod n 

0 soit 

00 en effectuant des operations du type : 

Di s r, . Q i4 dl . Q ia ^ ... 6111 mod Pi 
00 puis en appliquant la methode des restes chinois ; 
ledit precede etant tel qu'il y a autant de reponses B que de defis d que 
d' engagements R 9 chaque groupe de nombres R 9 d 9 D constituant un 
triplet note {R 9 d 9 D}. 

12. Precede selon la revendication 11 tel que pour mettre en oeuvre 
les couples de valeurs privees Q 19 Q 29 ... Q m et publiques G 19 G 29 ... G m ,on 
utilise les facteurs premiers p 19 p 29 ... p f et/ou les parametres des restes 
chinois, les nombres de bases g 19 g 29 ... g m et/ou les valeurs publiques G 19 
G 29 ... G m pour calculer : 

- soit les valeurs privees Q l9 Q 29 Q m en extrayant une k neme racine 
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caiTee modulo n de G t , ou en prenant Tinverse d'une k ieme racine carree 
modulo n de G; , 

- soit les fjn composantes privees Q i( j des valeurs privees Q 19 Q 2 , ... 
Q m , telles que m Q ; (mod Pj) , 

13. Procede selon la revendication 12 tel que pour calculer les fan 
composantes privees Q u des valeurs privees Q n Q 2 , ... Q m : 

- on applique la cle ( s, Pj ) pour calculer z tel que 

z s Gj s (mod pj) 

- on utilise les valeurs t et u 

• calculees comme indique ci-dessus dans le cas ou pj est congru 
a 1 modulo 4 et 

• prises respectivement egales a 1 (t=l) et 0 (u=0) dans le cas ou 
Pj est congru a 3 modulo 4, 

• • si u est nul on considere 1' ensemble des nombres zz tels que : 

• • • zz soit egale a z ou tel que 

• • • zz soit egale au produit (mod pj) de z par chacune des 
2 iU racines 2" iemes primitives de 1' unite, ii allant de 1 a min(k,t) , 

• • si u est positif on considere Fensemble des nombres zz tels 
que zz soit egale au produit (mod pj) de za par chacune des 2 k racines 2 k 
iemes de 1' unite, za designant la valeur de la variable w a Tissue de 
Falgorithme mis en oeuvre dans la revendication 10, 

- on en deduit au moins une valeur de la composante Q if j elle est 
egale a zz lorsque Inequation Gj s Q ; v mod n est utilisee ou bien elle est 
egale a 1' inverse de zz modulo pj de zz lorsque r equation G ( . Q ; v « 1 . mod 
n est utilisee. 
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Fig.lB 
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Fig.lD 
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z.b et z.b 3 




Fig.2 



z.b, z.b 3 » z.b 5 et z.b 7 
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